CIS al rescate de la Ciberseguridad

¿Qué es CIS?

Quiero empezar este artículo presentándoles a nuestros buenos amigos de Centro de Seguridad de Internet mejor conocidos como CIS (Center of internet security). CIS es una organización sin fines de lucro con visión de futuro que aprovecha el poder de una comunidad de TI global para proteger a las organizaciones públicas y privadas contra las ciberamenazas.

CIS nos provee de forma gratuita, muchísimos recursos de información tales como:

Mejores prácticas de Ciberseguridad: 

• CIS Bechmarks
  • • Más de 100 guías de configuración para más de 25 fabricantes de productos para salvaguardar a los sistemas de las ciberamenazas que nos invaden cada día.
• Controles CIS
  • • Es un priorizado set de acciones para proteger a su organización y datos de vectores de ciberataques conocidos.

Herramientas de Ciberseguridad

• • • CIS ofrece una variedad de herramientas, membresías y servicios para ayudar a las organizaciones de todo el mundo a comenzar y mantenerse seguras.

 

Controles

En este artículo nos enfocaremos específicamente en los 20 controles de seguridad críticos de CIS para una ciberdefensa eficaz.

El beneficio principal de estos controles es que priorizan y enfocan un número menor de acciones con altos resultados. Los controles son efectivos porque se derivan de los patrones de ataque más comunes, destacados en los informes de amenazas principales.

 

¿Por qué son importantes los controles CIS?

Minimizan el riesgo de:

• • Violaciones de datos
  • Fugas de datos
  • Robo de propiedad intelectual
  • Espionaje corporativo
  • Robo de identidad
  • Pérdida de privacidad
  • Denegación de servicio y otras ciberamenazas.

 

Los controles CIS nos ayudan a responder preguntas como:

• • ¿Cuáles son las áreas más críticas para establecer un programa de gestión de riesgos?
  • ¿Qué medidas defensivas proporcionan el mayor valor?
  • ¿Cómo podemos hacer un seguimiento de la madurez de nuestro programa de gestión de riesgos?
  • ¿Cómo podemos compartir nuestra información sobre los ataques y atacantes e identificar las causas fundamentales?
  • ¿Qué herramientas se utilizan mejor para resolver qué problemas?
  • ¿Qué controles CIS se asignan a los marcos regulatorios y de cumplimiento de mi organización?

 

20 controles CIS

CIS separa los controles en tres categorías, básica, fundamental y organizacionales, independientemente de la industria. Estas categorías y la priorización de los controles es lo que hace que los controles CIS funcionen tan bien.

Controles básicos (6)

• • Inventario y control de activos de hardware: Este control requiere que las organizaciones administren dispositivos de hardware en su red para garantizar que solo los dispositivos autorizados tengan acceso a áreas sensibles.
  • Inventario y control de activos de software: Sin el conocimiento o el control adecuados del software implementado en una organización, los defensores no pueden proteger adecuadamente sus activos, lo que genera violaciones de datos y exposición de datos confidenciales.
  • Gestión continua vulnerabilidades: La gestión y la evaluación de vulnerabilidades requieren que los ciberdefensores reciban un flujo constante de nueva información, actualizaciones de software, parches, avisos de seguridad, etc.
  • Uso controlado de los privilegios administrativos: El principio de privilegios mínimos y otros métodos de control de acceso están diseñados para crear procesos y herramientas para rastrear, controlar, prevenir y corregir el uso, asignación y configuración de privilegios administrativos.
  • Configuración segura de hardware y software en dispositivos: Las configuraciones predeterminadas para los sistemas operativos y las aplicaciones generalmente están orientadas a la facilidad de implementación y uso, en lugar de la seguridad, corregir esto es prioridad.
  • Mantenimiento, vigilancia y análisis de los registros de auditoría: Las deficiencias en el registro y análisis de seguridad permiten a los atacantes ocultar su ubicación, la instalación de software malicioso y su actividad en la máquina de la víctima.

 

Controles Fundamentales (10)

• • Protecciones para el correo electrónico y el navegador web: Este control puede minimizar la superficie de ataque y las oportunidades para que los atacantes manipulen el comportamiento humano a través de su interacción con navegadores web y sistemas de correo electrónico.
  • Defensas contra malware: Las organizaciones deben controlar la instalación, propagación y ejecución de código malicioso, mientras optimizan el uso de la automatización para permitir una actualización rápida de la defensa, la recopilación de datos y la acción correctiva.
  • Limitación y control de puertos, protocolos y servicios de red: Este control debe gestionar el uso operativo continuo de puertos, protocolos y servicios en dispositivos en red para minimizar las ventanas de vulnerabilidad disponibles para los atacantes.
  • Capacidades de recuperación de datos: Cuando se descubre un atacante, las organizaciones deben poder eliminar todos los aspectos de la presencia del atacante de la máquina. 
  • Configuración segura para los dispositivos de red: Las organizaciones deben establecer, implementar y administrar activamente la configuración de seguridad de los dispositivos de infraestructura de red mediante la administración de la configuración y los procesos de control de cambios para evitar que los atacantes aprovechen los servicios y configuraciones vulnerables.
  • Seguridad perimetral: Los controles de defensa detectan, previenen y corrigen el flujo de información que se transfiere a través de redes de diferentes niveles de confianza con un enfoque en los datos que dañan la seguridad.
  • Protección de datos: Los controles de protección de datos son procesos y herramientas diseñados para evitar la exfiltración de datos, mitigar los efectos de los datos exfiltrados y garantizar la privacidad e integridad de la información confidencial.
  • Control de acceso: Se deben implementar controles para mitigar la amenaza de violaciones de datos en primer lugar.
  • Control de acceso inalámbrico: Los controles de acceso inalámbrico son procesos y herramientas para rastrear, controlar, prevenir y corregir el uso seguro de redes.
  • Monitoreo y control de cuentas: Este control requiere una gestión activa a lo largo del ciclo de vida de las cuentas de aplicaciones y sistemas (su creación, uso, inactividad y eliminación) para minimizar las oportunidades para los atacantes.

 

Controles organizacionales (4)

• • Implementar un programa de capacitación y concientización sobre seguridad
  • Seguridad del software de aplicación: Valida las los campos de entrada y salida de las aplicaciones y cuida los errores que expones.
  • Respuesta y gestión de incidentes: Descubrir rápidamente los ataques, contener el daño, erradicar el acceso del atacante y restaurar la integridad es fundamental en toda organización.
  • Prueba de intrusión y ejercicios de RedTeam: Las organizaciones deben probar su defensa general simulando los objetivos y acciones de un atacante.

 

Ahora que estás consciente de los controles y riesgos existentes… ¿Qué hago?

Tranquilos es el objetivo de este artículo, darles las herramientas necesarias para la implementación de estos controles.

Controles Básicos

[table id=2 /]

Controles Fundamentales

[table id=3 /]

Controles Organizacionales

[table id=4 /]

Resumen:

Los controles de seguridad son una herramienta simple, pero poderosa que permite a las industrias prevenir ciberataques que pueden ser perjudiciales para la infraestructura de su empresa.

¿TIENES ALGÚN CONSEJO ACERCA DE LOS CONTROLES CIS? SI ES ASÍ, NO DUDE EN HACÉRNOSLO SABER A CONTINUACIÓN EN LOS COMENTARIOS.